Izvjestiteljica : Daniela CÎMPEAN (EPP/RO), predsjednica Okružnog vijeća Okruga Sibiu

PREPORUKE O POLITIKAMA

EUROPSKI ODBOR REGIJA (OR)

1.

napominje da rad na kibernetičkoj sigurnosti ne ide ukorak s aktualnom digitalnom transformacijom u zdravstvenim ustanovama i pružanju zdravstvene zaštite, zbog čega zdravstvena zaštita postaje glavna meta zlonamjernih aktera;

2.

u tom pogledu pozdravlja objavu predmetnog akcijskog lana i prepoznaje njegovu pravodobnost i važnost u kontekstu sve većih kibernetičkih napada na europske bolnice i pružatelje zdravstvene zaštite;

3.

upozorava da prijetnje u području kibernetičke sigurnosti imaju geopolitičke posljedice i čvrsto vjeruje da kibernetička sigurnost u zdravstvu nije samo tehničko pitanje već i pitanje lokalne, regionalne, nacionalne i europske sigurnosti;

4.

upozorava da se porast kibernetičkog kriminala, do kojeg je došlo nakon izbijanja pandemije COVID-a 19, i dalje nastavlja; kibernetički napadi iz inozemstva i oni koji se provode pod pokroviteljstvom države nisu usmjereni samo na kibernetičko špijuniranje i intelektualno vlasništvo već i na destabilizaciju cijelih društava;

5.

poziva na to da integrirana kibernetička sigurnost postane obavezna provedbom proaktivnih mjera kibernetičke sigurnosti već od samog početka razvoja novih tehnologija namijenjenih primjeni u zdravstvu; odlučno se zalaže za to da se osigura da javni pružatelji zdravstvene zaštite kupuju samo proizvode koji su dosegli razinu zrelosti kad je riječ o rješenjima kibernetičke sigurnosti, uključujući rezervne sustave i sustave za hitne slučajeve kojima se jamči sigurnost pacijenata čak i u slučaju poremećaja u mreži;

6.

ističe da bi se u slučajevima u kojima se napadi ne mogu spriječiti mogla koristiti dostupna namjenska služba za brzi odgovor za zdravstveni sektor uz pomoć pričuve EU-a za kibernetičku sigurnost uspostavljene Aktom o kibernetičkoj solidarnosti. Međutim, primarnu odgovornost snose lokalna i regionalna razina;

7.

podržava rad Svjetske zdravstvene organizacije (SZO/Europe) u vezi s digitalnim zdravstvom i obvezuje se da će s njom raditi na tom pitanju i realizaciji akcijskog plana za razdoblje 2025. – 2026. koji su zajedno potpisali;

8.

pozdravlja vodič regionalnog ureda SZO-a za Europu iz 2025. o procjenama rizika u području kibernetičke sigurnosti i privatnosti u digitalnom zdravstvu, koji pruža okvir za pomoć zemljama i organizacijama u razvoju strategija procjene rizika koje su usklađene s njihovim posebnim potrebama, ciljevima i regulatornim zahtjevima;

9.

ističe sve veći utjecaj umjetne inteligencije kao vektora prijetnji (napredni phishing i uvjerljiv krivotvoreni sadržaj) i kao potencijalnog instrumenta za obranu (otkrivanje anomalija i pružanje automatskih odgovora), pa predlaže da se akcijskim planom obuhvate oba aspekta umjetne inteligencije;

Regulatorni okvir

10.

naglašava da se predmetni akcijski plan temelji na postojećem zakonodavnom okviru u području kibernetičke sigurnosti, posebno Direktivi NIS 2, Aktu o kibernetičkoj solidarnosti, Aktu o kibersigurnosti, Uredbi o medicinskim proizvodima i Aktu o kibernetičkoj otpornosti; ukazuje i na vezu između akcijskog plana i Prijedloga preporuke Vijeća o Planu EU-a za upravljanje krizama u području kibernetičke sigurnosti;

11.

upozorava na kompleksnost okruženja koje se mijenja i na preklapanja između mehanizama certifikacije u okviru Akta o kibernetičkoj solidarnosti, Uredbe o medicinskim proizvodima i Akta o umjetnoj inteligenciji, što može dovesti do fragmentacije i „biranja” najpovoljnijeg regulatornog okvira, posebno ako je riječ o programima dobrovoljnog sudjelovanja;

12.

podržava ciljeve projekta CYMEDSEC (1), koji financira EU, za poboljšanje kibernetičke sigurnosti zdravstvenih sustava zahvaljujući sveobuhvatnoj evaluaciji projektiranja uređaja i mrežne infrastrukture, kibernetičke sigurnosti i regulatornih okvira;

13.

predlaže da se razmotri bi li povezivanje zahtjevâ iz zakonodavstva o primjeni Direktive NIS 2 i Uredbe (EU) 2016/679 o zaštiti osobnih podataka moglo pomoći u smanjenju administrativnih preklapanja u provedbi konkretnih mjera;

14.

ističe da postupno donošenje posebnih propisa dovodi do preklapanja zahtjeva koje je teško pratiti i postupati u skladu s njima. Treba voditi računa o povezivanju zahtjeva i izbjegavati preklapanja od samog početka postupka izrade svakog novog propisa;

Direktiva o otpornosti kritičnih subjekata

15.

ističe da se Direktiva o otpornosti kritičnih subjekata, kojom se zdravstvo prepoznaje kao služba od vitalne važnosti za društvo i gospodarstvo i kojom se jača otpornost kritične infrastrukture i kritičnih subjekata na niz prijetnji, uključujući kibernetički kriminal, počela primjenjivati 18. listopada 2024.;

16.

poziva 24 države članice koje su krajem studenoga 2024. primile službenu opomenu da Direktivu o otpornosti kritičnih subjekata odmah prenesu u svoje nacionalno zakonodavstvo;

17.

poziva Europsku komisiju da, ako u zadanom roku ne primi zadovoljavajući odgovor, pokrene postupke zbog povrede prava; smatra da je to pitanje od iznimne važnosti za europsku, nacionalnu, regionalnu i lokalnu sigurnost i da ga se ne smije olako shvatiti;

18.

podsjeća države članice da su do 17. srpnja 2026. dužne utvrditi kritične subjekte u svakom sektoru (uključujući zdravstvo) iz Direktive o otpornosti kritičnih subjekata i poziva ih da ubrzaju imenovanje kritičnih subjekata u području zdravstvene zaštite i pruže im konkretnu potporu u izgradnji kapaciteta;

19.

zabrinut je zbog toga što, prema informacijama Glavne uprave Europske komisije za komunikacijske mreže, sadržaje i tehnologije (GU CONNECT), velika većina bolnica u EU-u nikad nije provela procjenu sigurnosnog rizika;

20.

isto tako, zabrinut je zbog toga što je samo četvrtina organizacija ispitanih tijekom pripreme izvješća Agencije Europske unije za kibersigurnost (ENISA) za 2023. imala poseban program zaštite od ucjenjivačkog softvera;

21.

uviđa da su standardi propisa o kibernetičkoj sigurnosti utvrđeni u posljednjih 5-6 godina ažuriranom Direktivom o mjerama za sigurnost mrežnih i informacijskih sustava (NIS 2), Aktom o kibernetičkoj otpornosti, Uredbom o digitalnoj operativnoj otpornosti, Direktivom o otpornosti kritičnih subjekata i Aktom o umjetnoj inteligenciji; pozdravlja namjeru Komisije da se usredotoči na bolnice i pružatelje zdravstvene zaštite kako bi se poboljšala njihova kibernetička otpornost i podsjeća na važnost osiguravanja usklađenosti i dosljednosti među raznim instrumentima uz istodobno smanjenje preklapanja;

22.

predlaže da države članice uvedu redovite vježbe simulacije kibernetičkih incidenata koje bi koordinirala vlada i u kojima bi sudjelovali nacionalni i regionalni zdravstveni akteri;

Direktiva NIS 2

23.

ističe da se u listopadu 2024. Direktiva NIS 2 i službeno počela primjenjivati, što znači da su bolnice, pružatelji zdravstvene zaštite, proizvođači medicinskih proizvoda i farmaceutska poduzeća dužni donijeti snažne mjere kibernetičke sigurnosti;

24.

izražava zabrinutost zbog toga što je u zadanom roku samo šest država članica u potpunosti ili djelomično tu direktivu prenijelo u nacionalno pravo;

25.

uviđa da njezina provedba donosi velike izazove, posebno za zdravstveni sektor, zbog preklapanja s postojećim propisima kao što su Uredba o medicinskim proizvodima, Uredba o europskom prostoru za zdravstvene podatke i Akt o kibernetičkoj otpornosti;

Uloga lokalnih i regionalnih vlasti

26.

poziva Komisiju da ima na umu da je u 19 od 27 država članica upravljanje zdravstvenim sustavima, a posebno bolnicama, u većoj ili manjoj mjeri decentralizirano; razočaran je zbog toga što se u Komunikaciji ne govori o regionalnoj i lokalnoj razini i taj propust smatra zabrinjavajućim jer se njime zanemaruje pitanje tko je nadležan i tko upravlja pružateljima zdravstvene zaštite u dvije trećine država članica EU-a;

27.

poziva države članice da u osmišljavanje i provedbu svih strategija za kibernetičku sigurnost u potpunosti uključe svoje regije; ukazuje na to da regionalne vlade često vode digitalne inicijative u području zdravstva i njihova bi stručnost u vezi s uvođenjem rješenja e-zdravstva mogla biti ključna za uspješno uvođenje novih protokola i mjera kibernetičke sigurnosti;

28.

osim pitanja decentraliziranog upravljanja, naglašava da su zdravstveni sustavi širom Europe vrlo različiti i uključuju niz organizacija, od potpuno javnih do potpuno privatnih, uključujući hibridna javno-privatna partnerstva; u vezi s time upozorava na to da javna tijela često podliježu proračunskim ograničenjima i zakonskim ograničenjima visine plaća, zbog čega su ona stručnjacima za kibernetičku sigurnost manje privlačni poslodavci;

29.

poziva države članice da uspostave mrežu regionalnih potpornih centara za kibernetičku sigurnost za bolnice i pružatelje zdravstvene zaštite kako bi se bolje povezalo stanje stvari na lokalnoj, nacionalnoj i europskoj razini, pri čemu posebnu pažnju treba posvetiti financiranju i privlačenju talenata nužnih za razvoj tih centara;

30.

preporučuje da se regionalne i lokalne vlasti uključe u izradu nacionalnih akcijskih planova usmjerenih na kibernetičku sigurnost u zdravstvenom sektoru;

Troškovi i financiranje

31.

smatra da će se u okviru proračunskog planiranja rashodi u području kibernetičke sigurnosti morati sustavno izdvajati kao namjenska sredstva i biti njegov normalni dio; bolnice i pružatelji zdravstvene zaštite ne mogu nasumično kupovati nepovezane zaštitne uređaje, već treba redovito ocjenjivati, financirati i provoditi zaštitu vitalnih kritičnih operativnih tehnoloških sustava;

32.

skreće pozornost na izazov koji za manje regije predstavlja upravljanje zdravstvenim informacijskim i sigurnosnim sustavima i njihovo financiranje;

33.

ogorčen je činjenicom da prosječni trošak curenja podataka uzrokovan napadima ucjenjivačkim softverom iznosi 8 milijuna eura, što je gotovo dvostruko više od troška u drugim sektorima;

34.

poziva na veću jasnoću u pogledu financiranja kojim bi trebalo poduprijeti ambiciozne ciljeve utvrđene u predmetnom akcijskom planu; posebno traži detaljne informacije o tome kako lokalne i regionalne vlasti mogu financirati relevantnu digitalnu transformaciju u zdravstvu;

35.

očekuje od Komisije da pojasni koje bi mjere trebale financirati države članice, a koje EU; kad je riječ o EU-u, OR bi želio znati kako će programi „EU za zdravlje” i Digitalna Europa biti povezani u praksi;

36.

upozorava na to da se, osim ulaganja u tehnologiju, financiranje mora usmjeriti u ulaganja u razvijanje organizacijske kulture koja se bazira na sigurnosti na svim razinama;

37.

izražava žaljenje zbog znatnih rezova u proračunu programa „EU za zdravlje” za 2024. i poziva države članice da ga zaštite od budućih smanjenja; ponavlja svoje stajalište da zdravstvo nije rashod, već ulaganje u individualnu i kolektivnu dobrobit i otpornost;

Kibernetička otpornost u lancima opskrbe u zdravstvu

38.

naglašava da se mnoge bolnice i pružatelji zdravstvene zaštite oslanjaju na zastarjele medicinske uređaje i softvere koji se ne mogu oduprijeti modernim kibernetičkim napadima; svjestan je da je na mnogim mjestima zastarjela tehnologija neophodna za provođenje zdravstvene zaštite, ali da postoji rizik da ona postane izrazito slaba točka ako više nema informatičku potporu ili se ne održava;

39.

poziva na kontinuirano i namjensko financiranje iz nacionalnih i europskih izvora kako bi bolnice uklonile zastarjelu tehnologiju koja više nema informatičku potporu i prešle na sigurnija i prilagodljivija rješenja koja se temelje na računalstvu u oblaku;

40.

preporučuje usklađivanje postupaka nabave sa sigurnosnim standardima i poziva na donošenje posebnih smjernica u kojima bi se detaljno opisalo kako da se usklađenost s mjerilima za kibernetičku sigurnost postavi kao preduvjet za sudjelovanje u natječajima za javnu nabavu;

Radna snaga u području kibernetičke sigurnosti

41.

ponavlja ključne poruke iz mišljenja OR-a o manjku radne snage u zdravstvu i ističe da se zdravstveni sustavi suočavaju s dosad nezabilježenim akutnim i dugoročnim manjkom ključnog osoblja; zabrinut je zbog toga što će zadovoljavanje potreba za ljudskim resursima postati još složenije zbog sve veće potrebe da se, uz osnovno medicinsko osoblje, zapošljavaju i stručnjaci za IT i kibernetičku sigurnost;

42.

poziva javna tijela, akademsku zajednicu, ustanove za strukovno obrazovanje i osposobljavanje i nevladine organizacije da pokrenu javne kampanje za uklanjanje stereotipa o karijerama u području kibernetičke sigurnosti kako bi se u tu profesiju privuklo više žena i kako bi se istaknule raznovrsne mogućnosti koje nudi karijera u području kibernetičke sigurnosti u zdravstvenom sektoru;

43.

poziva na uspostavu okvira za certifikaciju osposobljavanja na razini EU-a kojim bi se poboljšala prenosivost i priznavanje vještina kibernetičke sigurnosti u zdravstvu;

44.

svjestan je činjenice da je ljudska pogreška važan čimbenik u povredama podataka jer osobe nenamjerno nasjedaju prijevarama povezanima s phishingom, pogrešno konfiguriraju sigurnosne postavke ili ne poštuju utvrđene protokole; poziva da osposobljavanje i osviještenost o rizicima budu prioritet u cijelom zdravstvenom sektoru; uvjeren je da kibernetička sigurnost ne smije biti usko ograničena na službe za IT, već mora biti zajednička odgovornost;

45.

preporučuje uvođenje obaveznog osposobljavanja o kibernetičkoj sigurnosti za cjelokupno osoblje u zdravstvenom sektoru kako bi se podigla razina osviještenosti o tom pitanju. To bi osposobljavanje trebali pratiti i poticaji usmjereni na rezultate;

Konkretni elementi predmetnog akcijskog plana

46.

pozdravlja ideju vaučera za kibernetičku sigurnost i poziva države članice da uvedu tu mjeru kako bi se pružila financijska pomoć mikro, malim i srednjim bolnicama i pružateljima zdravstvene zaštite;

47.

naglašava činjenicu da je akcijskim planom predviđeno da države članice od subjekata na koje se primjenjuje Direktiva NIS 2, uključujući zdravstvene organizacije, zahtijevaju da izvješćuju o plaćanjima otkupnine kada nadležno tijelo u skladu s Direktivom NIS 2 obavješćuju o značajnim incidentima; slaže se da bi se tim izvješćivanjem poboljšalo prikupljanje podataka i ocjenjivanje učinkovitosti mjera poduzetih protiv napada ucjenjivačkim softverom, ali poziva na više pojedinosti o tome kako bi se to izvješćivanje konkretno provodilo s obzirom na to da ono u skladu s tom direktivom nije obvezno;

48.

napominje da se akcijskim planom poziva proizvođače medicinskih i in vitro dijagnostičkih proizvoda da dobrovoljno prijavljuju iskorištene ranjivosti ili ozbiljne kibernetičke incidente koji utječu na sigurnost njihovih proizvoda; ističe da ti proizvođači nisu obuhvaćeni područjem primjene Akta o kibernetičkoj otpornosti i preporučuje da se aktualnom evaluacijom propisa razmotri bolja usklađenost regulatornih okvira;

49.

podržava ideju o uspostavi europske mreže voditelja informacijske sigurnosti (CISO) u zdravstvu kako bi stručnjaci mogli razmjenjivati primjere najbolje prakse, uključujući strategije za zadržavanje stručnih kadrova i rješenja za privlačenje stručnjaka u području kibernetičke sigurnosti u zdravstveni sektor; poziva Komisiju i države članice da se pobrinu za to da i stručnjaci koje imenuju regionalne vlade budu pozvani da se pridruže mreži;

50.

pozdravlja osnivanje Europskog potpornog centra za kibernetičku sigurnost za bolnice i pružatelje zdravstvene zaštite u okviru ENISA-e; ukazuje na velik broj zadaća koje bi taj novi potporni centar trebao obavljati i poziva Komisiju da pruži dodatne informacije o njegovu sastavu i financiranju;

51.

poziva Komisiju da regionalne i lokalne vlasti uključi u razvoj repozitorija svih dostupnih instrumenata za pripravnost, prevenciju, otkrivanje i odgovor, koji mora biti jednostavan za korištenje i kojemu se mora moći lako pristupiti. Repozitorij, koji bi uspostavio potporni centar, trebao bi obuhvaćati alate i politike sa svih razina upravljanja;

Povjerenje i privatnost

52.

smatra da su sigurnost i privatnost isprepletene: sigurnosnim mjerama štite se povjerljivost, cjelovitost i dostupnost podataka kao osnovni faktori privatnosti. Istodobno se propisima o privatnosti često propisuju posebne sigurnosne kontrole za zaštitu osobnih podataka. Zaštitom privatnosti jača se povjerenje pacijenata i povećava osviještenost o kibernetičkoj sigurnosti, čime se osigurava pažljivo postupanje s osjetljivim zdravstvenim informacijama;

53.

skreće pozornost na Izvješće ENISA-e o stanju kibernetičke sigurnosti u Uniji za 2024. i njegove zaključke da je zrelost zdravstvenog sektora EU-a u području kibernetičke sigurnosti „umjerena”, ali da postoje znatne razlike u razini zrelosti kibernetičke sigurnosti među zdravstvenim subjektima u Europi; naglašava da se podaci pacijenata moraju zaštititi kako bi se osiguralo njihovo trajno povjerenje u europski prostor za zdravstvene podatke;

54.

smatra da će za ostvarenje europskog prostora za zdravstvene podatke biti potrebno staviti veći naglasak na osiguravanje nacionalne i prekogranične infrastrukture za međusobno povezivanje, kao što su nacionalne kontaktne točke za e-zdravstvo. Ta infrastruktura postaje ključna za sveobuhvatnu zaštitu podataka, pa OR smatra da je za nju potrebno osmisliti konkretne mjere.

---

(1)   Početna stranica – Cymedsec.